• 元宇宙:本站分享元宇宙相关资讯,资讯仅代表作者观点与平台立场无关,仅供参考.

加密反黑客指南:多种措施保护好个人资产

  • 2024年8月18日 12:42

作者:INSIGHTFUL;编译:深潮TechFlow免责声明

本指南无法保证任何内容,并不是从「加密或网络安全专家」的角度编写的,而是基于多个来源和个人经验的不断学习成果。

例如,我自己在刚进入这个领域时就曾因害怕错过(FOMO)和贪婪而受骗(假直播诈骗和假MEV机器人诈骗),因此我花时间认真学习、设置和理解安全性。

不要成为那个因为失去一切或大量资产而被迫学习安全的人。黑客攻击还是用户错误?

所有类型的钱包、Tokens或NFT的「黑客攻击」或妥协大致可分为两类:

滥用先前授予的Tokens批准。

私钥或助记词泄露(通常发生在热钱包上)。Tokens批准

Tokens批准实际上是允许智能合约访问并移动您钱包中特定类型或数量的Tokens的权限。

例如:

给予OpenSea权限以移动您的NFT,以便您可以出售它。

给予Uniswap权限以使用您的Tokens进行交换。

作为背景信息,基本上Ethereum网络上的一切,除了ETH,都是ERC-20Tokens。

ERC-20Tokens的一个特性是能够授予其他智能合约批准权限。

如果您想进行核心DeFi交互(如交换或桥接Tokens),这些批准在某个时候是必需的。

NFT分别是ERC-721和ERC-1155Tokens;它们的批准机制与ERC-20类似,但适用于NFT市场。

MetaMask(MM)的初始Tokens批准提示提供了几条信息,其中最相关的是:

您正在授予批准的Tokens

您正在与之互动的网站

您正在与之互动的智能合约

编辑Tokens权限数量的能力

加密反黑客指南:多种措施保护好个人资产无限制与自定义限制批准(ERC-20Tokens)

许多DeFi应用默认会提示您对ERC-20Tokens进行无限制批准。

这样做是为了改善用户体验,因为它更方便,不需要未来可能的额外批准,从而节省时间和gas费用。

加密反黑客指南:多种措施保护好个人资产

NFT批准

「setApprovalForAll」用于NFT

这是一个常用但潜在危险的批准,通常在您想出售NFT时授予值得信赖的NFT市场。

这使得市场的智能合约能够转移您的NFT。因此,当您将NFT出售给买家时,市场的智能合约可以自动将NFT移动到买家那里。

此批准授予对特定集合或合约地址的所有NFTTokens的访问权限。

这也可能被恶意网站或合约用来窃取您的NFT。

加密反黑客指南:多种措施保护好个人资产

硬件/冷钱包

热钱包通过您的计算机或手机连接到互联网,密钥和钱包凭证在线或本地存储在您的浏览器中。

冷钱包是硬件设备,密钥在完全离线的状态下生成和存储,并且物理上靠近您。

考虑到一个Ledger的价格大约为$120,如果您有超过$1000的加密资产,您可能应该购买并设置一个Ledger。您可以将Ledger钱包连接到您的MetaMask(MM),以便在保持一定安全性的同时享有与其他热钱包相同的功能。

Ledger和Trezor是最受欢迎的选择。我喜欢Ledger,因为它与浏览器钱包(类似于Rabby和MM)的兼容性最好。

购买Ledger时的最佳实践

始终从官方制造商网站购买,切勿在Ebay或Amazon上购买——可能会被篡改或预装恶意软件。

确保您收到物品时包装是密封的。

第一次设置Ledger时,它会生成一个助记词。

只能将助记词写在物理纸上,或者在未来将其写在钢板上,以确保您的助记词短语防火防水。

绝不要拍摄或在任何键盘(包括手机)上输入助记词——这会将助记词数字化,您的冷钱包将变成不安全的热钱包。

加密资产并不是存储在硬件钱包上,而是「在」由助记词短语生成的钱包中。

助记词短语(12-24个单词)是所有的一切,必须不惜一切代价保护和安全。

它提供对所有在该助记词短语下生成的钱包的完全控制和访问权限。

助记词不是特定于设备的,您可以将其「导入」到另一个硬件钱包中作为备份(如果需要)。

如果助记词丢失或损坏,并且原始硬件钱包也丢失、损坏或被锁定,您将永久失去对所有资产的访问权限。

有多种助记词存储方法,例如,将其分成多个部分,增加部分之间的物理距离,存放在不明显的地方(例如,冰箱底部的汤罐,您财产地下的某个地方等)。

至少您应该有2-3份副本,其中一份应为钢制,以防水和火灾。

「私钥」类似于助记词短语,但仅针对一个特定钱包。它通常用于将热钱包导入新的MetaMask(MM)账户或在自动化工具(如交易机器人)中使用。第25个单词-Ledger

除了原始的24个单词助记词,Ledger还提供一个可选的额外安全功能。

密码短语是一项高级功能,可以将您选择的最多100个字符的第25个单词添加到您的恢复短语中。

使用密码短语会生成一组完全不同的地址,这些地址无法仅通过24个单词的恢复短语访问。

除了增加安全层,密码短语在您受到威胁时还能提供合理的否认。

如果使用密码短语,务必安全存储或准确记住它,逐个字符并区分大小写。

这是针对「$5扳手攻击」这种身体威胁情况的唯一和最终防御措施。

为什么要经历这么多麻烦来设置硬件钱包?

热钱包将私钥存储在连接到互联网的位置。

通过互联网被欺骗、误导和操纵以泄露这些凭证是极其简单的。

拥有冷钱包意味着,骗子需要物理上找到并获取您的Ledger或助记词才能访问这些钱包及其内部资产。

助记词一旦被泄露,所有热钱包及其中的资产都将面临风险,即使那些没有与恶意网站或合约互动的资产也不例外。过去人们被「黑客攻击」的常见方式

过去人们通过热钱包遭遇「黑客攻击」(助记词短语泄露)的常见方式包括:

被欺骗下载恶意软件,例如通过工作机会PDF、测试版游戏、通过Google表格运行宏,或模仿合法网站和服务。

与恶意合约互动:在模仿网站进行FOMO铸造,或与未知空投或接收的NFT合约互动。

将密钥和助记词插入或发送给「客户支持」或相关程序/表单。

元宇宙最新

元宇宙热门

Copyright © 2021.Company 元宇宙YITB.COM All rights reserved.元宇宙YITB.COM